You are on page 1of 2

AGDLP (Accounts - Global - Domain Local - Permissions) Wanneer je in een Microsoft netwerk aan de slag gaat met het

delen van data, printers of applicaties (resources) dan kan dat eenvoudig leiden tot een warboel van permissies waarbij, na verloop van tijd, de naald erg klein is in de grote hooiberg. Dit hoeft echter niet. Wanneer je je houdt aan de structuur zoals Microsoft bedacht heeft bij het ontwerp van de operating systems kun je een overzichtelijke structuur opzetten waarmee iedere IT-er die deze basis kent mee uit de voeten kan. Het principe is uit te gaan van AGDLP. Hierbij groepeer je gebruikers in groepen en maak je ook groepen aan die permissies op je resources (shares) krijgen. Hieronder de uitleg: User management In de eerste plaats heb je Accounts dit zijn de gebruikers die uiteindelijk handelingen moeten kunnen verrichten op de resources. Accounts groepeer je in Global Groups. Dit zijn groepen die bedoelt zijn om objecten in te groeperen die een bepaalde kenmerk delen (bijvoorbeeld een functie). Houd bij het maken van Global groups in je achterhoofd dat deze groepen niets te maken hebben met permissies, dus groepeer zuiver op kenmerk. Bijvoorbeeld: G_Verkopers G_Managers G_Helpdesk Resource Management Aan de andere kant heb je het management van je resources. Een handige werkwijze hiervoor is het volgende: als je een resource deelt kijk dan wat de inhoud van deze resource is. Bijvoorbeeld Documenten. Probeer dan te bepalen wat men over het algemeen met dit soort data moet kunnen (denk dus niet in termen van: Verkoop moet kunnen ....). Maak in de AD (Active Directory) voor de verschillende permissies die je bedacht hebt Domain Local Groups aan. Hanteer voor de groepsnamen de groepsoort, de resource en de permissie. Dus als je bij het voorbeeld van de Documenten folder Read, Read & Write en Modify permissies in gedachten hebt, maak je drie Domain Local groups: DL_Documenten_R (deze groep geef je in het filsystem Read permissie) DL_Documenten_RW (Read + Write permissie) DL_Documenten_M (Modify permissie) Nu heb je aan de ene kant je Global Groups met de gegroepeerde gebruikers en aan de andere kant de Domain Local Groups waaraan de permissies op de resource zijn toegekend. Nu moeten de juiste mensen nog de juiste permissies krijgen. Dit doe je door de gewenste Global Group lid te maken van de juiste Domain Local Group. Dit alles is het principe: A G DL P (Accounts in Global groups die weer lid worden van Domain Local groups welke Permissies krijgen). Waarom zou je dit zo omslachtig doen?? Veel systeembeheerders werken volgens het AGP principe. Dus bijvoorbeeld een groep Verkopers die op allerlei plekken in het netwerk permissies op resources krijgt. Het probleem treedt op als de vraag komt "Waar kan Piet (die lid van Verkopers is) allemaal bij?". Om dit uit te vinden moet de systeembeheerder het

hele (of meerdere) filesystem gaan doorploegen om te achterhalen waar de groep Verkopers allemaal permissies heeft. Hoe komt het dat deze informatie niet gewoon in de Active Directory staat? Bij Microsoft systemen is het zo dat de toelating tot een resource bepaald wordt bij de resource zelf. Door de Active Directory wordt bepaald of je verbinding met een bepaalde server mag maken, maar de share- en NTFS permissies bepalen of je bij een bepaalde resource mag komen. Dit wordt als eigenschap opgeslagen bij een resource in een Access Control List, de ACL. Een entry in deze lijst (een ACE) geeft aan wat een bepaalde user of groep voor een permissies heeft. Omdat dit dus een eigenschap van de resource is, moet het ook op die plaats (veelal het filesystem) geraadpleegd worden.